во-первых, это красиво... аналоговая очередь за цифровыми паролями!

https://twitter.com/svblxyz/status/1206948966442708992

Преступление и наказание:

Давненько я писал тут про сервис Unroll.me — сервис по отписыванию от рассылок, который, сюрприз!, выгребал и анализировал пользовательскую почту без того, чтобы надлежащим образом пользователей об этом проинформировать. и вообще говорил, что они не такие.
https://t.me/alexmakus/1102

Теперь же компания достигла соглашения с Федеральной Комиссией по Торговле о том, что "были неправы, обманывали пользователей". В качестве наказания компания должна будет удалить всю собранную почту, а также ей "запрещено неверно информировать пользователей о сборе и применении пользовательской информации". В общем, как обычно, просто дали по рукам
https://www.ftc.gov/news-events/press-releases/2019/08/operator-email-management-service-settles-ftc-allegations-it

Количество дней с последнего инцидента со смартчасами-трекерами для детей:
0

Виной всему — облачный сервис, который использует большое количество производителей таких трекеров, и где хранится информация о местоположении детей, а также аудиозаписи переговоров между родителями и детьми. Трекеры, как правило, строятся на одной платформе, и потом продаются под разными брендами, но ходят в один и тот же клаудный сервис. А сам этот сервис позволяет удаленно мониторить пользовательские устройства, в том числе и тем, кому это не положено.

https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/?=pen-test-partners

преступление: взлом Zynga

https://t.me/alexmakus/3077

Последствия:
Уведомление от Have I been pwned — "You're one of 172,869,660 people pwned in the Zynga data breach"

Так, хорошие новости: Фейсбук наконец-то прекратит использовать номер телефона, который добавляли пользователи для 2ФА, для рекомендаций среди друзей (то, что они с самого начала не должны были бы делать). Плохие новости — это то, что пользователям, номер которых Фейсбук уже использует для рекомендаций, надо номер удалить и потом передобавить. Ну или просто удалить, что, конечно, лучше.
https://www.reuters.com/article/us-facebook-privacy-idUSKBN1YN26Q

Количество дней без упоминания производителя камер Ring в канале:

0

какая-то странная утечка 3,6 тысчч аккаунтов пользователей Ring, включая логины, пароли и названия местоположений камер (что, конечно, позволяло бы злоумышленникам подключаться к камерам). Ring отрицает взлом, а формат утечки предполагает, что информация была взята из базы данных компании. Все еще хотите чужую камеру себе домой?
https://www.buzzfeednews.com/article/carolinehaskins1/data-leak-exposes-personal-data-over-3000-ring-camera-users

Эксперты Positive Technologies обнаружили критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

https://ko.com.ua/kriticheskaya_uyazvimost_v_po_citrix_pozvolyaet_proniknut_v_seti_desyatkov_tysyach_kompanij_131313
https://support.citrix.com/article/CTX267027

ну и хорошая история почитать на выходных, с отличной визуализацией: как журналисты The New York Times получили огромный архив данных о местоположении миллионов американцев за 2016-2017 год и что можно из этой информации получить. не буду спойлить, это очень хороший материал
https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html

Для чтения на выходных и вообще как пример хорошо изложенного материала — новая версия документа Apple Platform Security (ранее известный как iOS Security Guide). Практически все, что вас может заинтересовать о том, как работает безопасность в устройствах и операционных системах Apple, изложена понятным и не сильно техническим языком.

https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

Продолжение ко вчерашнему материалу NYT о трекинге перемещения американцев с прекрасными иллюстрациями в самом начале
https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html

Интересная история у, опять же, NYT о приложении ToTok — популярном приложении-мессенджере для мобильных платформ, разработанном, судя по всему, по заданию разведки Объединенных Арабских Эмиратов. Обещания были красивые — безопасный мессенджер и видеозвонки, конечно же. И, по информации источников издания, все сообщения, вся информация о местоперемещении пользователей, все аудио-видео записи — всё это было доступно правительству ОАЭ для мониторинга и слежки. Удобно!
На момент публикации приложения уже были удалены из соответствующих магазинов App Store и Google Play. (Правда, в магазинах Samsung, Huawei, Xiaomi и Oppo оно было доступно.) Интересно, что VirusTotal считал приложение безопасным, значит, вся обработка данных, если таковая была, происходила на стороне бэкэнда.


https://www.nytimes.com/2019/12/22/us/politics/totok-app-uae.html

компания, разумеется, все отрицает, а приложения недоступны в магазинах, потому что "Технические сложности".
https://totok.ai/news

Забавно, что Твиттер маркирует ссылку на ТоТок как потенциально небезопасную

Преступление:
"группа хакеров" шантажирует Apple, угрожая удалить данные сотен миллионов пользователей
https://t.me/alexmakus/1036

Наказание:
два года в тюрьме, но с отсрочкой на 300 часов неоплачиваемой работы с условием соблюдения 6 месяцев электронного наблюдения (вот тут я не понял, то ли это означает браслет на ногу, то ли запрет на работу с компьютером).
https://www.nationalcrimeagency.gov.uk/news/hacker-tried-to-blackmail-apple-by-threatening-to-delete-319m-accounts

Возвращаюсь мыслями к скандалу о данных и слежке за пользователями, о которых писала New York Times на прошлой неделе. Пытаюсь понять, что организаторы платформ и/или мы как пользователи можем по этому поводу сделать. С одной стороны, Apple и Google и так задалбывают на своих устройствах всевозможными подтверждениями доступа к тем или иным данным. Но в итоге вся ответственность падает на пользователя, который разрешает или запрещает приложению доступ к данным. А когда разработчик получает разрешение от пользователя и начинает собирать данные, как могут создатели платформ контролировать, что разработчики делают с этими данными, и не продают ли они их на сторону.

С другой стороны, есть масса приложений, которым информация о местоположении действительно нужна. Приложение для показа погоды, например, или навигационное приложение, или приложение для спорта. Если с погодой еще можно ограничить информацию о местоположении городом, например, то с другими категориями уже сложнее. И как должен пользователь разбираться, что вот это бесплатное приложение действительно достойно получать геолокацию с телефона, а другое сливает его в базу разведки ОАЭ или чего-то такого?

Законодательное регулирование — это, конечно, вариант, но всякие GDPR, CCPA и прочее что-то пока привели только к увеличению дурацких писем и уведомлений, а так, чтобы почувствовать себя в информационной безопасности — такого нет. Так и живем.

Ну и про Эпол, раз пошла жара. Компания открыла свою bounty-программу для всех желающих, выплаты до 1млн долларов за сохраняющийся взлом ядра без интеракций со стороны пользователя. Какой-нибудь NSO Group за такую дыру заплатит раза в два раза больше.
https://developer.apple.com/security-bounty/payouts/

Планы здания британской разведки с размещением сигнализаций и другими средствами предотвращения проникновения пропали. Очевидно, что эти планы могут представлять большой интерес для злоумышленников и шпионов. Джеймс Бонд напрягся

https://www.thesun.co.uk/news/10623272/mi6-sack-builders-hq-blueprints-missing/

wtf, теперь фейсбук еще информацию о здоровье собрался коллекционировать? Они номера телефонов для 2ФА использовали для таргетирования рекламой, им еще про здоровье рассказывать?